Tehlike altındaki Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılım dağıtmak için Rusça Microsoft Word belgesinden yararlanan yeni bir kimlik avı saldırısı gözlemlendi.
Faaliyet, adlı bir tehdit aktörüne atfedildi KonniKimsuky (diğer adıyla APT43) olarak takip edilen Kuzey Kore kümesiyle örtüşmeleri paylaştığı değerlendiriliyor.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Bu kampanya, bilgileri çıkarabilen ve ele geçirilen cihazlarda komutları yürütebilen bir uzaktan erişim truva atına (RAT) dayanıyor.” söz konusu Bu hafta yayınlanan bir analizde.
Siber casusluk grubu dikkat çekicidir Rusya’nın hedef alınmasıHedef odaklı kimlik avı e-postalarının ve kötü amaçlı belgelerin saldırılar için giriş noktaları olarak kullanılmasını içeren işleyiş tarzı.
Knowsec ve ThreatMon tarafından belgelenen son saldırılar, WinRAR güvenlik açığından (CVE-2023-38831) yararlandı ve Visual Basic komut dosyalarının gizlenmesini sağladı. Konni RAT ve virüslü makinelerden veri toplayabilen bir Windows Toplu komut dosyası.
ThreatMon, “Konni’nin öncelikli hedefleri arasında veri sızdırma ve casusluk faaliyetleri yürütmek yer alıyor” söz konusu. “Bu hedeflere ulaşmak için grup, çok çeşitli kötü amaçlı yazılım ve araçlar kullanıyor ve taktiklerini sık sık tespit edilmekten ve ilişkilendirilmekten kaçınmak için uyarlıyor.”
Fortinet tarafından gözlemlenen son saldırı dizisi, etkinleştirildiğinde “Özel Askeri Operasyonun İlerlemesine İlişkin Batılı Değerlendirmeler” hakkında olduğu iddia edilen Rusça bir makale görüntüleyen makro bağlantılı bir Word belgesini içeriyor.
Visual Basic for Application (VBA) makrosu daha sonra sistem kontrolleri gerçekleştiren, Kullanıcı Hesabı Denetimi’ni (UAC) atlayan ve sonuçta bilgi toplama ve sızma yeteneklerini içeren bir DLL dosyasının dağıtımının önünü açan geçici bir Toplu komut dosyasını başlatmaya devam eder.
Lin, “Yük, bir UAC bypass’ı ve bir C2 sunucusuyla şifreli iletişimi birleştirerek tehdit aktörünün ayrıcalıklı komutları yürütmesine olanak tanıyor” dedi.
Konni, Rusya’yı öne çıkaran tek Kuzey Koreli tehdit aktörü değil. Kaspersky, Microsoft ve SentinelOne tarafından toplanan kanıtlar, ScarCruft (diğer adıyla APT37) olarak adlandırılan düşman grubunun aynı zamanda ülkede bulunan ticaret şirketlerini ve füze mühendisliği firmalarını da hedef aldığını gösteriyor.
Açıklama ayrıca, Rus devlete ait telekom şirketi Rostelecom’un siber güvenlik kolu Solar’ın, Asya’daki tehdit aktörlerinin (özellikle Çin ve Kuzey Kore’den gelenlerin) ülkenin altyapısına yönelik saldırıların çoğunluğundan sorumlu olduğunu açıklamasından iki haftadan kısa bir süre sonra geldi.
Şirket, “Kuzey Koreli Lazarus grubu Rusya Federasyonu topraklarında da oldukça aktif” dedi. söz konusu. “Kasım ayı başı itibarıyla Lazarus bilgisayar korsanlarının hâlâ bazı Rus sistemlerine erişimi var.”